启明星辰终端文档加密产品-铁卷数据安全系统软件产品_主打PPT_

合集下载

启明星辰终端文档加密产品-铁卷数据安全系统软件产品_主打PPT_

《测试方案》《测试报告》
《系统上线方案》《用户操作手册》《问题跟踪列表》
《运维手册》《验收报告》
2010-1
2010-2
2010-2-23
2010-4-6
2010-4-20
2010-5-8
2010-6-5
目录
客户专用
项目选型过程
确定需求
市场调查
供应商交流
供应商初选
供应商提供方案
供应商精选
•
外发需要申请解密
安全需求控制策略
信息泄密与非授权访问
1. 限制打印
• •
只允许打印到授权的打印机只允许使用特定的截屏软件截屏
设备控制
2. 禁止截屏
1. 关键业务系统的访问控制
•
仅允许安装了铁卷客户端的机器访问关键业务系统
准入
1. 记录管理员操作日志
•
无
日志审计
目录
客户专用
加解密网关简介
客户专用
API接口简介
• 授权企业在业务系统中使用 • 二次开发（业务系统） • 按需实现文档在业务系统中的加解密
客户专用
目录
客户专用
铁卷移动版简介
• 实现手机和平板上查看密文； • 支持的系统：IOS和Android系统； • 支持的文件：Office、WPS和PDF
客户专用
供应商方案
互联网模式证书模式 USBKEY 阅读器模式
方案互联网模式实时管理可以安全性高采购成本低管理成本低修改格式不需要
证书模式 USBKEY 阅读器模式
不可以不可以不可以
中高高
低高中

终端信息安全及加密系统(电子文档管理软件)采购需求文件

终端信息安全及加密系统（电子文档管理软件）采购需求文件一、货物清单注：备注栏注明“拒绝进口”的产品不接受投标供应商选用进口产品参与投标；注明“接受进口”的产品允许投标供应商选用进口产品参与投标，但不排斥国内产品。

二、技术需求三、供应商资格要求1、符合《中华人民共和国政府采购法》第二十二条规定条件（提供声明函）；2、提供在中华人民共和国境内注册的法人或其他组织的营业执照或事业单位法人证书或社会团体法人登记证书复印件，如投标人为自然人的提供自然人身份证明复印件；如国家另有规定的，则从其规定。

（分支机构投标，须取得具有法人资格的总公司（总所）出具给分支机构的授权书，并提供总公司（总所）和分支机构的营业执照（执业许可证）复印件。

已由总公司（总所）授权的，总公司（总所）取得的相关资质证书对分支机构有效。

3、本项目不接受联合体投标、不允许分包。

四、采购方式及评标方法采购方式：公开招标评标方法：综合评分法五、商务需求（一）交货/完工期：合同签定后 60 天（日历日）内，交货期是指所有货物运抵现场安装调试完毕后交付用户验收的日期。

交货地点：南山区深南大道10138号（深圳市规划和自然资源局南山管理局）。

（二）报价要求：1.本项目预算金额：人民币 30万元，响应报价超过预算金额的视为无效响应。

2.响应总价必须是完成该项目的一切费用总和，包括设备费、运输费、装卸费、保险费、技术培训费、设备安装费、调试费、售后服务费、国家规定的各项税费以及2年设备维保费和2年软件升级服务等。

（三）付款方式：采购合同签订后支付合同总金额的 50 %，货到安装调试完成后并经用户验收合格后30天内支付合同总金额的 50 %。

（四）安装、调试及验收方式：1.中标供应商应当派有经验的技术人员到现场进行安装、调试，直到设备正常使用。

2.由采购人按合同和采购文件、响应文件约定的要求和标准及中华人民共和国现行的验收规范和评定标准进行交货验收。

3.验收要求：（1）设备全新且必须符合有关国标的规定；（2）按照采购文件要求及响应文件提供的设备技术参数验收必须合格一致。

安全启明星辰产品解决方案

数据安全解决方案案例分析
• 某制造行业客户数据安全解决方案 • 提供数据加密、数据备份与恢复、数据访问控制等安全产品 • 保护客户企业重要数据，防止泄露 • 提供专业的数据安全服务，帮助客户提高数据安全水平
05
安全启明星辰产品解决方案未来发展趋势
安全启明星辰产品技术创新方向
• 持续投入研发，保持技术领先地位 • 深入研究人工智能、大数据、云计算等技术在安全领域的应用 • 开发更多创新性的安全产品 • 与国内外知名研究机构合作，分享最新研究成果
客户对安全启明星辰产品的建议与反馈
• 客户对产品和服务提出了一些建议 • 部分客户建议提供更多样化的产品选择 • 部分客户建议提高服务质量，提高响应速度 • 部分客户建议加强与其他厂商的合作，共同推动行业发展
• 安全启明星辰将认真听取客户意见，不断改进产品和服务
谢谢观看
THANK YOU FOR WATCHING
02
安全启明星辰产品解决方案介绍
企业网络安全解决方案
提供全面的安全防护
• 防火墙：保护企业内部网络 • 入侵检测系统：实时检测网络攻击 • 漏洞扫描与管理：发现并修复网络漏洞
满足不同规模企业的需求
• 小型企业：提供经济型网络安全解决方案 • 中型企业：提供高性能网络安全解决方案 • 大型企业及政府机构：提供高端定制化网络安全解决方案
2010年在深圳证券交易所上市
• 股票代码：002439 • 成为中国网络安全第一股
安全启明星辰产品系列及特点
安全产品系列丰富
• 企业网络安全解决方案 • 云安全解决方案 • 数据安全解决方案
产品特点
• 个性化定制：根据客户需求提供定制化解决方案 • 技术创新：持续投入研发，保持技术领先地位 • 服务保障：专业的技术支持团队，提供及时的服务保障

启明星辰网站安全监测系统维护手册

启明星辰网站安全监测系统维护手册目录1.网站安全监测系统默认用户名密码及接口地址 (3)1.1.网站安全监测系统web界面 (3)1.2.系统默认接口地址 (3)1.3.密码重置 (3)2.虚拟机版安装常见问题 (3)2.1.启动虚拟机报错规范一致性或虚拟机硬件合规检查 (3)2.2.启动虚拟机时inter VT为启用报错 (4)2.3.无法启动报错vmsvc (4)3.无法登陆界面 (6)3.1.检查虚拟机和物理机是否可以ping通。

(6)3.2.检查虚拟机的ip是否生效 (7)3.3.检查虚拟机接口是否RUNNING (7)3.4.关掉物理机防火墙 (8)4.授权问题 (8)4.1.授权申请 (8)4.2.授权格式 (8)5.抓包方法 (8)6.网站安全监测系统的登录扫描 (9)6.1.添加cookies、设置User_Agent扫描站点 (9)6.2.BASIC、NTLM认证 (9)7.无法登录到web系统中 (10)1.网站安全监测系统默认用户名密码及接口地址1.1.网站安全监测系统web界面启明版本：root/Venustech60admin/Venustech60网御版本：root/Leadsec60admin/Leadsec601.2.系统默认接口地址接口IP为10.0.0.1/241.3.密码重置系统admin忘记密码之后，可以使用root账号登陆进行密码修改。

如果忘记root账号和密码，请联系产品线专家进行密码修改。

2.虚拟机版安装常见问题2.1.启动虚拟机报错规范一致性或虚拟机硬件合规检查此报错的原因一般为下载的解压出来的文件不完整，务必下载两个压缩包并放在同一级目录解压。

解决办法1、选择重试，如果还是不行，重新解压导入。

2.2.启动虚拟机时inter VT为启用报错原因是如果主机是32位操作系统，使用vmware导入64位网站安全监测系统虚拟机，且主机BIOS中默认inter VT 是disable的状态，这样就会造成虚拟机开机报错。

启明星辰全系列产品

启明星辰全线产品序号设备名称产品描述优势威胁管理类1 天阗入侵检测与管理系统新一代威胁检测、分析与管理产品。

对于病毒、木马、DDos、扫描、SQL注入、XXS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为等威胁具有高精度的检测能力，通过智能过滤技术，仅向使用者展示真正需要关注的威胁，在减轻使用者工作量的同时，保障威胁处理的及时性。

1、业界领先的威胁检测和识别技术（专利）；2、稳居国内市场第一位；3、国内针对APT攻击检测解决方案第一人；4、安全类认证齐全。

2天清入侵防御系统天清入侵防御系统NIPS系列在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，并集防火墙、防病毒、上网行为管理、无线安全模块、抗拒服务器攻击、内容过滤、NetFlow等多种安全技术于一身，同时全面支持Qos、高可用性、日志审计等功能，为网络提供全面的实时的安全防护。

1、业界领先的威胁检测和识别技术（专利）；2、多核技术架构，芯片级高级数据处理，低延时低功耗；3、IPv6金牌认证；4、安全类认证齐全。

3 天清web应用安全网关新一代Web安全防护与应用交付类应用安全产品，主要针对Web服务器进行HTTP/HTTPS流量分析，防护以Web应用访问各方面进行优化，通过网页防篡改及负载均衡等技术来提高Web或网络协议应用的可用性、性能及安全性，确保Web业务应用能够快读、安全、可靠的交付。

1、采用国际领先的MIPS64多核处理器架构（非Intel）2、芯片级高效数据处理能力，低延迟低功耗；3、IPv6金牌认证；4、拥有SQL注入攻击国家专利技术及其他多项技术专利；5、安全类认证齐全。

4 天清无线安全引擎无线安全引擎是一款专门针对无线网络的安全硬件设备，能够监听空间区域内的无线信号，检测扫描、欺骗、Dos、暴力破解等各针对无线网络链路等的攻击行为，并采取阻断和报警措施，自动发现覆盖区域内的无线设备及终端，并可通过安全策略阻断流氓AP及非法终端、提升无线网络的使用效果。

启明星辰产品介绍课件

合规
敏感信息检测威胁检测系安全审计系
安全工具系安全防护系
WEB扫描
无线扫描
扫描
天玥网络安全审计系统（业务审计）
天玥网络安全审计系统（数据库审计）
天玥网络安全审计系统（数据库防火墙）
防护ห้องสมุดไป่ตู้
天清Web应用安全网关
天清入侵防御系统
天清无线安全系统
天清WAG负载均衡应用交付控制器
威胁检测系：追求检测的深度需要垂直检测
启明星辰安全产品全产品介绍
启明星辰全流程安全产品布局
边界安全终端安全应用安全数据安全
无线安全防火墙
UTM VPN 入侵防御
终端管理入侵检测
Web应用防火墙
应用安全交付
漏洞扫描
数据库审计 DLP/透明加
密
监测业务安全监控应用性能管理网络行为分析
管控
身份与网络管理
运维安全管控
互联网行为管控
检查
Web核查
配置核查
日志审计
运维审计
度量
安全指标评估
安全风险评估
安全运营管理平台
安全管理
安全运维管理
运维
启明星辰全流程安全产品布局
启明星辰全流程布局安全产品由星辰本部、泰合本部以及星云本部负责。
星辰本部
全产品天阗入侵检测（恶意代码检测、敏感信息检测、异常流量检测）天玥网络安全审计（数据库审计、数据库防火墙、业务审计）天清安全防护（WEB应用安全网关、入侵防御系统、无线安全系统、WAG负载均衡应用交付）天镜扫描检查系统（系统扫描、WEB应用扫描、无线安全检测）
威胁检测系——天阗系列
入侵检测系统

启明星辰产品管理中心.PPT课件

天清异常流量管理与抗拒绝服务系统
配置报价指导书
启明星辰产品管理中心 2012.05
.
1
天清ADM产品简介
天清异常流量管理与抗拒绝服务系统（Traffic Anomaly Detection and Mitigation），简称天清ADM，对异常流量和DDoS攻击进行检测、清洗和限制，由清洗设备Guard、检测设备Detector和管理中心Manager组成。
选配：功能授权
业务处理板接口扩展卡端口转换模块
选配：硬件板卡
光口、电口模块光纤跳线
选配：接口模块
• Guard必配模块：直流或交流主机 – 所有型号支持直流、交流电源选择； – 默认全性能开启，不含IP授权、容量授权，性价比高于绿盟。
• 选配：流量管控功能授权 – 提供对P2P等流量的合理管控和限速； – 对于只需要针对DDOS流量进行清洗的场景可不销售该授权，不影响功能。
• 选配：硬件板卡 – 业务处理板适用于Guard-10100，用于扩展两个接口扩展卡； – 接口扩展卡：接口扩展（不含光模块）。 – 端口转换模块：Guard-8000及以上型号标配电口转换为电口和光口（主要用于首次销售，已售型号转换需返厂）。
• 选配：接口模块 – 公司公用配件，注意万兆XFP和SFP+接口不能通用。
对漏洞型、流量型和应用层DDoS攻击进行清洗，对 P2P等异常流量进行限制，并将干净的流量回注
Internet
异常流量
通过Flow分析、镜像流和
流量牵引通告
SNMP分析的方法，发现网络中的异常流量并通知
Guard进行清洗。
异常流量清洗 Guard
攻击流量
正常流量

启明星辰产品介绍

• 数据库访问关联
- 实时三层关联 - 跳转访问审计 - 嵌套操作审计
• 审计日志处理
- 高速日志记录 - 有效日志检索 - 客户化审计报表
数据
库审计
内网全
审计解决
业务审计
数据库防火
墙
方案
高性能处理
客户价值
安全防护系：精确阻断是安全防护的根本
安全防护系——天清系列
天清Web应用安全网关
对关键敏感信息的及时发现便于符合内审规定
对异常流量量化评价有助于业务系统的连续性
威胁检测系：入侵检测与管理让安全事件呈现变得简单
安全态势可视化可对指定时间段内的安全事件进行统计分析，并自动对需要关注的事件、IP进行总结概述，展现整体网络安全态势，同时，还能自动与历史数据进行对比分析，帮助您分析网络安全发展趋势，为您的安全建设决策提供支撑依据。
针对问题
数据库安全解决方案，对常用数据库服务器的业务访问和运维操作全面审计
SQL语义解析实现数据库操作的细粒度审计
三层架构下的WEB业务关联审计，实现数据库访问精确溯源到业务用户
对数据库访问的命令级访问控制和审计
对业务访问行为进行审计，了解业务运行状况，发现异常，保障业务系统运行
安全审计系：深层监测让精确溯源变得简单
启明星辰安全产品全产品介绍
启明星辰全流程安全产品布局
边界安全终端安全应用安全数据安全
无线安全防火墙
UTM VPN 入侵防御
终端管理入侵检测
Web应用防火墙
应用安全交付
漏洞扫描
数据库审计 DLP/透明加
密
监测业务安全监控应用性能管理网络行为分析

启明星辰安全产品与解决方案介绍

+
软件
硬件
MVS产品线
1、网闸
2、VPN
双向网闸单向网闸(光闸) 视频网闸数据交换平台 IPSEC/SSL VPN 加密机
可信边界安全网关
IBG产品线
1、无线安全 AC、AP、安全探针、认证平台 2、终端管理终端管理系统、文档防泄密、文档加密 3、杀毒软件景云杀毒
泰合产品线
需求风险驱劢合规要求合规性要求合规性要求等级保护安全技术要求安全管理要求落实层面设备服务网络安全网络层安全异常流量与抗拒绝服务utmids入侵检测fw火墙无线安全fw火墙ips入侵防御主机安全主机层安全网络层安全漏洞扫描终端安全防病毒dlp应用安全应用层安全网络层安全主机层安全负载均衡web审计floweyeweb防火墙web服务器上网行为审计floweye负载均衡aptvpnngfw数据安全应用层安全网络层安全主机层安全数据库数据层安全数据库数据库防火墙数据库审计数据交换数据交换安全管理应用层安全网络层安全主机层安全数据层安全usm安全运营中心安全管理类堡垒机日志审计安全基线
工控类
工控防火墙
工控网闸
工控堡垒机
工控漏扫
ቤተ መጻሕፍቲ ባይዱ
工控入侵检测
云安全
vIDS
vDBA
安全市场 vFA
vBA
Other
Vetrix-10000-2Core-L
(Vetrix 2CPU 内核授权) Vetrix-10000-1V-L Vetrix-10000-1V-L (Vetrix 1个虚机授权) (Vetrix 1个虚机授权）
UTM
异常流量与抗拒绝服务
FW 防火墙
FW 防 IPS入侵防御火墙
IDS入侵检测
主机安全

启明星辰专业安全服务白皮书

未经启明星辰书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本文档中的信息归启明星辰信息技术有限公司所有并受中国知识产权法和国际公约的保护。

信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。

信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区中关村南大街12号188信箱电话：0传真：0免责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。

在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。

本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。

出版时间本文档由启明星辰信息技术有限公司2006年3月制作出版。

目录1概述.................................................................................................. 错误!未定义书签。

面临的问题........................................................................................错误!未定义书签。

安全服务的必要性............................................................................错误!未定义书签。

启明星辰防火墙安全产品介绍

真正需要及时信息的业务得不到有效的保障
高效需求－提高工作效率
虚拟娱乐，如网游、网聊、炒股等应用，使员工沉迷其中，消耗大量工作时间。
某企业有多少员工？ N＝100人每位员工平均的月薪？ S＝2000元员工每天在网上浪费？ T＝1小时
则该企业每年将为此付出成本:30万！
60%的企业互联网访问与工作无关！
跳转USE
防火墙主要功能
4、抗攻击能力
• 非法报文攻击
Land 、Smurf、Pingofdeath、winnuke 、 tcp_sscan、ip_option、 teardrop…
• 抗DoS攻击、抗CC攻击
SynFlood, UdpFlood,IcmpFlood、CC攻击等…
• 蠕虫过滤 •抗ARP攻击 • IDS模块 • 和IDS/内网管理系统的联动能力
细节功能点－VPN功能
IPSec与SSL VPN功能复用支持国密办专用算法SCB2 独有的隧道接力功能，可通过隧道接力实现分级的树状VPN结构部署 VPN客户端兼容Windows Vista系统安全可靠的USB-Key
细节功能点－多出口路由
多出口策略路由链路探测多ISP出口自动选路，减少跨 ISP延时动态路由（OSPF、RIP等）， VLAN间路由，单臂路由，组播路由等
IPv6防火墙过滤功能
• 已通过中国移动测试
中国移动通信有限公司IT硬件防火墙设备集中采购项目采购人：中国移动通信有限公司联系人和联系电话：联系人:粟瑛并通过所有IPv6的功能测试验证(详见附件测试报告IPv6部分)
技术特点：精度加深的应用控制
• 专业应用控制功能 • 流控产品应用 • 特征库明显提升
➢ 由3-4层控制向应用层控制发展 ➢ 由单纯防外部攻击向防外&控内过度 ➢ 由单纯提供控制功能向提供系列服务发展 ➢ 由简单网络向复杂&高流量网络延伸

01天珣产品介绍PPT

用户名/密码 UKEY
认
证
条
件
数字证书
IP地址
MAC地址安全基线终端物理信息 GUID
交换机认证条件
认证结果
交换机绑定
GUEST VLAN
指定 VLAN
交换机端口绑定正常访问拒绝访问
EoU准入及网关联动
终端
访问互联网或企业应用
安全状态合规
安全状态不合规
没有安装客户端
正常访问
客户端带宽分配
ERP服务器客户端
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
网管数据库访问 ERP服务
服务器带宽分配
分布式、面向业务的流量管理—基于用户、终端、进程、端口进行流量管理限制异常流量，降低非业务流量对内网的影响，有效保证正常业务的带宽
产品资质
谢谢！
ARP欺骗防护
ARP请求
ARP应答本机
ARP欺骗识别
ARP欺骗防御
网关MAC绑定
天珣系统驱动层
ARP应答网卡
ARP请求
网络
准确定位ARP欺骗源头，阻止本机发送\接收ARP欺骗包配合终端准入控制，全面杜绝内网ARP欺骗
目录
1、终端安全管理建设路线图 2、基础认知及终端运维 3、合规管理 4、主动防御及策略强制 5、天珣系统管理功能 6、天珣系统优势
运营商及其它
中国联通（集团）有限公司辽宁省分公司中国移动通信集团广东有限公司中国电信广东有限公司东莞分公司中国建设银行广东省分行东莞银行厦门银行齐鲁银行中国科学院计算机研究所解放军信息工程大学西安交通大学哈尔滨工业大学大连轻工业学院

2014启明星辰-产品线介绍

天玥业务网审计系统
主流数据库访问日志远程协议访问日志
解决方案之安全运营管理
多维展现
泰合信息安全运营中心
面向业务的统一IT管理：BSM、SLA、业务安全、业务指标体系、业务连续性、合规管理面向 IT资产的可用性与风险管理：资产、拓扑、性能、流安全信息响应与安全分析量、安全事件、漏洞、配置
泰合安全运营中心天镜基线配置检查系统天镜脆弱性扫描系统
网络安全
主机安全
应用安全
数据安全
运维安全
解决方案之边界安全
无线安全引擎天清防火墙FW/UTM
VSOS & MIPS多核集成FW、VPN、IPS、AV、AS、 HA…… IPv6 集成无线技术和网络技术建立无线物理安全环境具备无线攻击防护与UTM、IDS、IPS、SCANNER整合
启明星辰产品线介绍
启明星辰闫继文
目录公司简介产品线介绍
公司简介
成立时间：1996年上市时间：2010年6月25日股票代码：002439 注册资本：26，692万业务范围：提供行业化信息安全整体解决方案提供网络安全风险评估、应急响应服务以及认证培训服务提供专业化的安全产品公司规模：人员1800多人
22
面向各角色用户的一体化安全管控
•掌握整体运行态势
•评估管理机制的有效性 •提供业务管理决策支持
高层领导
•掌握业务系统运行态势
•查阅业务系统运行报告业务部门领导 •协调安全事件的处理 •落实运维管理策略 •制定任务计划 •出具分析报告 •监测网络可用性
运维经理
•安全日志审计
运维人员全网IT资源 TSOC-BSM管理平台

启明星辰产品介绍.pptx

Internet
WAN
天清ADM USG/FW/UTM2 IPS 上网行为管控
LAN
终端边界天珣终端安全天清无线安全
天阗IDS 天阗MDS 天阗敏感信息检测
天镜漏洞扫描安星
天阗异常流量检测
泰合安全管理平台
天清WAG 天清应用交付
网页防篡改
运维审计隔离网闸
天榕 DLP
天玥数据库审计日志审计计算环境：审计、止损设施
天清汉马一体化安全网关（UTM）
天清汉马
防火墙（FW）
IDC 及CCID评估报告显示：20072010年度，启明星辰在国内UTM 市场占有率排名第一。
USG-320C USG-620C USG-820C USG-2000D USG-2010D USG-3600D USG-3610D USG-4600E USG-5600E USG-10000E USG-12000E
NT3000-LT-SRP
NT3000-LT-S 处理能力：1.5Gbps
NT3000-PF-BRP
NT3000-PF-B 处理能力：2.5Gbps
NT3000系列BPM-1 NT3000系列BPM-2 处理能力：4Gbps
NT3000系列BPM-1 NT3000系列BPM-2 处理能力：5.5Gbps
产品技术
【威胁管理类】——天阗入侵检测与管理系统
中国入侵检测（IDS）第一品牌
全面检测有效呈现
万兆线速处理性能
全面的入侵检测能力
完善的管理控制体系
IDC 及CCID 评估报告显示：自2003 年起至今，天阗一
产品荣誉
直稳居国内IDS 市场占有率排名第一。
2008 年度《中国计算机报》编辑选择奖

终端防护产品——天珣系共44页文档

Unix/Linux
10
终端准入控制 – 客户端准入
基于安全策略、访问控制策略的客户端准入
内网
天珣管理服务器
11
层层设防的终端准入控制
不安全终端
天
应用准入
珣内
网
安
全
风
险网络准入管
理
与
审
计
客户端准入
系统
边界层
多因素组合认证
User-IP-MAC+有效期
应用层
User-IP +有效期
IP-MAC +有效期
用户名认证状态
MAC地址信息
操作系统补丁安装状态防病毒软件运行状态计算机软件运行状态注册表检测与自动修复关键程序、文件状态匿名访问、Guest账号计算机弱口令
安全状态检测
ARP欺骗防御
终端审计
文件共享审计上网行为审计
邮件审计移动存储审计网络共享审计
打印审计注册表审计终端操作审计
IT支持
桌面合规管理
资产管理外设管理软件安装管理软件分发终端运行监控远程维护
IP管理网络管理
4
内网安全产品核心价值-合规
• 终端安全产品的大部分核心价值都与合规相关终端准入控制是为了合规终端安全控制是为了合规移动存储管理是为了合规终端审计是为了合规
BT/Real QQ/MSN 文件下载 SMTP邮件 IE浏览 OA应用 ERP应用
客户端带宽分配
客户端
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
网管数据库访问 ERP服务
服务器带宽分配
基于单个进程、单个端口的客户端流量带宽管理

启明星辰P系列防火墙课件-陈国栋

系统管理——维护——备份与恢复——导入全部配置
注意：导入配置后需要重启网关，配置才可以生效。 3.6.0.1版本的配置导入3.6.0.2时，需要为防火墙打
上前14个升级包，否则只能导入关键配置（NAT
配置无法导入）
第三章
防火墙接入模式简介
接口设备相关介绍
路由&NAT方式接入
透明方式接入冗余方式接入
日志管理
日志查看
防火墙日志包括系统日志及功能模块日志。系统日志是防火墙自身产生的信息，如管理员管理日志和设备状态日志（如接口 up/down）；功能模块日志是防火墙功能模块启用后产生的信息，如HA日志、IPS日志、包过滤日志，这类日志需要防火墙对应的功能模块启动日志记录功能。
日志——日志访问——日志查看
登陆管理
SSH管理和Telnet管理
防火墙默认关闭该功能，需要通过WEB管理方式或者命令行方式手动开启。一旦开启以后，该登陆方式适用于防火墙上的所有的三层接口一、 WEB管理方式开启二、命令行管理方式开启
系统管理——管理员设置——设置——开启SSH或者Telnet
登陆管理
启用GUI管理
电信
Eth
.1 2:1
.1.
2
Eth3
:2.2
.2.2
2.2.2.1
联通
注释：默认路由网关探测可以使防火墙以最快的速度感知到故障的链路，使对应的默认路由失效，从而保证多出口网络的稳定性。探测方式为ICMP和ARP探测。
静态路由
默认路由——配置
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2 1.1.1.1

安全(启明星辰产品)解决方案 ()

安全解决方案的使命就是在先进的理念与方法论的指导下，综合运用安全技术、产品、工具，提供客户化的服务，全面系统地解决客户面临的安全问题。

??? 1.理念与方法论??? 理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。

一个解决方案中最核心的部分是解决方案所基于的理念与方法论，它好比解决方案的神经中枢。

尤其是对那些看起来相似的安全需求，基于不同的理念与方法论会得到大相径庭的安全解决方案。

??? 良好安全理念和方法论力图挖掘和把握信息安全的本质规律，以便为客户提供可行的，易实施的安全解决方案。

??? 2.需求获取??? 客户的安全需求是整个解决方案的起源和持续的推动力。

没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前，不可能得到切合实际的解决方案。

??? 在需求分析过程中，会采用多种需求分析方法。

比如，BDH方法，就是从业务、分布、层次等三个方向进行分解，同时考虑业务分解后的各要素之间的内在联系，力求完整而准确地获取客户的安全需求。

??? 3.安全措施??? 安全措施是解决方案中具体的方法、技术、服务和产品等的集合，但又不是简单的堆砌。

一个解决方案除了要有正确的安全理念和方法作为基础，全面、清晰地把握客户安全需求之外，还要对可用的各种安全措施（产品与服务）的特点有准确的了解和把握，深刻理解各种措施之间的内在联系，取长补短，充分发挥服务和产品的特性，最终提供有效的实施方案。

??? 4.安全实现??? 安全实现是解决方案的最后一步。

所谓“行百里者半九十”，优秀的安全解决方案必须通过完美地实现才能真正生效，满足客户的安全需求。

??? 在努力完善理念和方法论的同时，要注重安全实现与执行。

从项目管理、质量保障等方面全面加强。

??? 二、解决方案指导思路??? 三观安全包括：微观安全、宏观安全和中观安全。

??? 三观安全的一个典型模型就是上图的执行模型。

上面的执行模型分为底层的实现层，体现为安全部件，即安全产品和规范化的安全服务；中间的运营层，体现为对于安全产品的集成管理和各种安全任务的流程管理；顶层的决策层，包括决策支持、残余风险确认，以及顶尖上的“使命”。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

目录
客户专用
加解密网关简介
客户专用
API接口简介
• 授权企业在业务系统中使用 • 二次开发（业务系统） • 按需实现文档在业务系统中的加解密
客户专用
目录
客户专用
铁卷移动版简介
• 实现手机和平板上查看密文； • 支持的系统：IOS和Android系统； • 支持的文件：Office、WPS和PDF
解密
4 下发策略
加解密客户端驱动层Hook
写入
7 1
服务端
读取
认证和日志 2
Disk I/O
硬盘
驱动层硬件识别码ID OS Kernel
硬件识别 3
客户专用
强制加密机制
对明文的文档操作
判断进程是否在白名单内
是否
对文档加密
不做操作
客户专用
智能加密机制
打开文档时
判断文档当前状态
密明
对文档加密
人员
人员人员
人员人员代理管理员申请
客户专用
运营维护思路
负责:普法执法
•细化管控要求 •培训推广宣传管理规定 •安全审计
安全管理小组
负责:措施和手段
•策略制定和维护 •终端安全事件管理 •终端用户安全服务支持
负责:立法普法执法
•制定文档使用管理规范制度 •颁布制度 •培训推广宣传文档管理规定
2. 记录用户操作日志
客户专用
用户策略介绍
用户类型
设计类应用软件
策略定义
• • •
效果及影响
强制加密设计类应用软件生成的文档，指定授权的打印机打印出的文件带水印
研发
限制打印禁止截屏打印水印
办公类应用软件
非研发
允许打印允许截屏
• • • •
生成的文档强制加密可查看、编辑加密的文档不限制打印机不禁止截屏
企业内部网
通过拷贝或任何方式外发的文档，在脱离加密网络环境之后打开为密文。
非法手段窃取的文档，由于没有客户端，文档无法打开。
客户专用
详尽的操作审计日志
通过关键字查询：
• 日期 • IP地址 • 终端别名 • 操作类型 • 操作结果 •按部门
终端日志：
终端对文档操作的详细日志
客户专用
业务场景-用户离线
受控文件
供应商
文档管理员
机密资料

受控文件
密码限制时间限制次数限制
走外发流程，由专人对文档进行转换
研发主机
客户专用
外发文件控制-密信外发平台
客户专用
目录
客户专用
系统更稳定
客户专用
功能更灵活
多级审批在线续签分组密钥邮件预警
客户专用
特色一：分布式部署架构
客户专用
特色二：多密钥管理
铁卷电子文档安全系统工作在操作系统和应用程序之间，应用层程序与加密解密的工作无关。通俗点说，就是应用程序（例如Word/AutoCAD）根本就不知道发生过加密/解密这回事儿。在文件保存的时候，铁卷电子文档安全系统在内核中将文件加密，储存在硬盘的时候已经是密文文件了；在打开文件的时候，铁卷电子文档安全系统又将文件解密，再传给应用程序。
•
外发需要申请解密
安全需求控制策略
信息泄密与非授权访问
1. 限制打印
• •
只允许打印到授权的打印机只允许使用特定的截屏软件截屏
设备控制
2. 禁止截屏
1. 关键业务系统的访问控制
•
仅允许安装了铁卷客户端的机器访问关键业务系统
准入
1. 记录管理员操作日志
•
无
日志审计
客户专用
电子文档安全面临的挑战
资源共享，介质管理
以讹传讹，道听途说
没有安全意识的员工
喜欢打听消息的员工
病毒攻击
资料窃取介质窃取
黑客
敏感文件
心怀不满的员工
客户专用
企业内部控制基本规范
2009年4月28日，国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，并要求自2011年7月1 日起先在上市公司范围内施行。该项法律被知名专家称之为中国版的“塞班斯法案”。
文档安全管理员
文档安全控制需求
加载管控策略
公司 IT
负责:遵守、执行
业务部门
•遵守和执行规定和制度 •提出对文档安全管理需求
客户专用
基础策略
客户专用
控制策略分类
重要风险关键控制点
1. 研发等相关部门终端上的设计文档全部加密 •
用户影响
未安装客户端的用户无法访问加密文档
文档加密
2. 关键业务系统文件下载上传自动加、解密
不做操作
客户专用
加密保护效果
以其他格式打开的加密文档为乱码！
文档被加密
脱离网络环境，加密文档无法打开！客户专用
解密申请
客户端提出解密申请
管理员进行审核并解密
客户专用
移动终端离线
提出离线申请离线申请发送至服务器
允许离线
笔记本用户
天榕管理员
天榕服务器
客户专用
防护效果
加密文档网络内部可用
通过服务器获得授权
总裁特权用户总监特殊岗位研发制技非研发非制技
客户专用
只解密不加密终端 UsbKey认证自行解密 UsbKey认证
• 打开文档后自动解密 • 可通过UsbKey进行认证
• 可自行解密加密的文档 • 可通过UsbKey进行认证
• 可自行解密加密的文档 • 工作模式下强制加密AutoCAD、Pro-E、 Office、PDF文档 • 禁止打印禁止截屏 • 拥有个人模式 • 工作模式下强制加密，可查看、编辑加密的文档 • 禁止打印禁止截屏 • 拥有个人模式
客户专用
产品组成
铁卷
终端加解密业务系统加解密移动设备查看密文铁卷移动版
文档外发控制
强制加密终端
智能加密终端
加解密网关
API 接口
密信外发
客户专用
目录
客户专用
终端加解密实现方式
应用程序
保存另存
打开新建
6 5
• 心跳时间跟服务器做同步认证 • 收集终端日志
应用层Hook
加密
参观客户
产品测试
方案评估
客户专用
技术选型
透明加解密
• 深圳大成天下 • 北京亿赛通 • 北京思智泰克 • 上海华途
磁盘加密
• 明朝万达 • PGP
DLP
• WebSense • McAfee • Symantec
权限管理
• MS DRM • 上海前言
客户专用
选型综合考评
实施经验积极性公司规模
普通用户离线
提交离线申请
代理管理员
离线授权文件授权文件
申领USBKEY
USBKEY
可制作一批USBKEY用作部门公用
使用专属 USBKEY
高管用户离线
客户专用
业务场景-文档打印
用户主机
用户主机
未授权的打印机
用户主机
用户主机
授权的打印机打印水印
1. 后台打印审计
• • 谁打印什么时间打印
客户专用
用户测试
全面实施
项目验收与运维优化
• 研发信息安
全总体方案设计
• 成立项目组 • 项目计划与
人员安排
• 调研问卷设计
与调查
• 确定详细方
案设计
• 选择代表性
试点项目组
• 成立信息安全
管理小组
• 项目验收 • 系统运行与
维护
主要工作
• 安全需求调研
• 安装辅助应
用软件
• 定义测试用
户与场景
• 全面实施并优
化控制策略；
• 试点单位选
择
• 方案整体规
划设计
• 监控与优化
• 定义技术文
档管理制度
• 测试与调整
安全控制策略
• 颁布技术文档
管理制度与人员培训
• 业务部门沟
通
输出成果时间
客户专用
《选型报告》
《总体计划》
《需求说明书》《目标方案》《概要设计说明书》
《详细设计说明书》《技术文档管理制度》
防泄密项目阶段目标
信息安全控制手段安全管理小组架构与职责运行与维护流程日志审计
信息
受控文件：设计图纸实验报告工艺卡片 … 非受控文件：日常办公文档 …
人员
受控用户：研发部
设备
控制打印设备控制计算机截屏
业务流程
受控文件外发申请远程访问客户端申请特殊权限申请
人员
非受控用户：其它部门用户人员
客户专用
特色三：代理管理员和多级审批
客户专用
特色四：支持多种身份认证方式
客户专用
特色五：管理员的分级分权
客户专用
特色六：图形化的数据输出
客户专用
特色七：状态和事件的报警
客户专用
其它亮点
• 给个人设置例外安全策略； • 把某一条策略的使用权限分配给某个管理员管理； • 在线续签Usbkey的使用时间； • …
客户专用
防泄密的目标
安全风险高
70% 安全隐患
为了保障企业核心竞争力，我们必须把潜在IT风险降到最低
安全风险
数据来源：福里斯特公司
低
客户专用
目录
企业面临的文档安全风险铁卷如何降低潜在的文档安全风险案例分享